Il trattamento di dati biometrici sul posto di lavoro: il provvedimento del Garante nei confronti della Società Sportitalia

Massima

Il trattamento di dati biometrici, di norma soggetto ad un divieto generale ai sensi dell'art. 9, par. 1 del GDPR, è consentito esclusivamente qualora ricorra una delle condizioni indicate dall'art. 9, par. 2 del GDPR e, con riguardo alle attività di trattamento effettuate sul posto di lavoro, solo quando ciò sia «necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato».

Pertanto, in ambito lavorativo, la base giuridica per il trattamento di tali dati non può essere costituita dal consenso dei dipendenti in considerazione della natura e del rapporto che sussiste tra datore di lavoro e dipendente.

Il caso

La Società Sportitalia – Società Sportiva Dilettantistica a Responsabilità Limitata – si era dotata, a partire dall'ottobre del 2018, di un sistema di timbratura per rilevazione delle presenze in grado di acquisire dati biometrici (nello specifico, impronte digitali) per accertare l'accesso e la presenza di dipendenti e collaboratori presso alcuni dei propri locali sportivi situati nella città di Milano, anche noti come “Club Get Fit”. La base giuridica individuata dal Titolare per tale attività di trattamento si fondava sul consenso specifico e libero espresso da parte dei dipendenti (cfr. Ordinanza ingiunzione nei confronti di Sportitalia, società sportiva dilettantistica a responsabilità limitata - 10 novembre 2022, punto 1, lett. d) che – a loro volta – ricevevano un'informativa privacy recante, in calce, l'indicazione di sottoscrizione per presa visione e consenso al trattamento dei dati biometrici (cfr. Ordinanza ingiunzione nei confronti di Sportitalia, società sportiva dilettantistica a responsabilità limitata - 10 novembre 2022, punto 1, lett. e).

Oltre al sistema biometrico di rilevazione delle presenze, risultava attivo anche un sistema di rilevazione tramite l'utilizzo di badge, che poteva essere utilizzato – alternativamente – dai dipendenti che non intendevano avvalersi della predetta modalità.

L'installazione di tali tecnologie avrebbe indotto il Sindacato Lavoratori della Comunicazione (SLC) Cgil ad effettuare una segnalazione all'Autorità Garante per la protezione dei dati personali nel maggio del 2019, rappresentando un utilizzo degli applicativi contrario ai principi di liceità, necessità e proporzionalità nei confronti di circa 132 dipendenti. Sin dal principio, l'organizzazione sindacale si era, infatti, opposta alle modalità con cui veniva effettuato tale trattamento, in quanto, per il perseguimento delle finalità connesse alla necessità di agevolare la registrazione dell'orario di entrata e di uscita dei dipendenti, potevano essere adoperati – da parte dell'Azienda – mezzi meno invasivi che non implicassero la raccolta dei dati biometrici relativi ai lavoratori.

La questione

Avviata l’attività di istruttoria, l’Autorità – previa trasmissione di richieste di informazioni e conduzione di accertamenti ispettivi e audizioni nei confronti della Società – era stata chiamata ad effettuare ulteriori verifiche allo scopo di pronunciarsi in merito alla possibilità di riconoscere la liceità (o meno) di un’attività di trattamento consistente nell’utilizzo di sistemi di accertamento delle presenze basati sulla rilevazione delle impronte digitali per finalità di ordinaria gestione del rapporto di lavoro.

Le soluzioni giuridiche

Nel caso di specie, il Garante ha, preliminarmente, provveduto a chiarire che i dati biometrici, ovvero «dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici» (art. 4, n. 14 del Regolamento (UE) 2016/679), costituiscano oggetto delle attività di trattamento tanto nella fase c.d. di registrazione con conseguente acquisizione delle impronte digitali dell'interessato, quanto nella fase di riconoscimento biometrico, al momento della rilevazione delle presenze (cfr. Allegato A al Provvedimento n. 513 del 12 novembre 2014 – Linee guida biometria, punto 6.1, 6.2 e 6.3). Date, infatti, le proprietà che caratterizzano i dati biometrici, questi ultimi vengono fatti rientrare all'interno delle categorie “particolari” di dati personali di cui all'art. 9 del Regolamento. Per tale tipologia di dati personali, l'art. 9, par. 1 del Regolamento prevede, altresì, un divieto generale al trattamento laddove non ricorra una delle condizioni, di cui alle lettere a-j, ai sensi del par. 2 del medesimo articolo.

Tuttavia, per quel che concerne le attività di trattamento effettuate in ambito lavorativo, l'Autorità ha precisato che il trattamento di tale categoria di dati non possa essere ritenuto legittimo se non alla luce dell'art. 9, par. 2, lett. b) del Regolamento e, quindi, in presenza di una disposizione normativa che autorizzi il trattamento e di un ponderato bilanciamento della necessità e proporzionalità dello stesso rispetto alle finalità che il Titolare intende perseguire, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato e tenendo, comunque, in considerazione che a norma del par. 4 del medesimo articolo gli Stati membri possono prevedere “ulteriori condizioni, comprese limitazioni” con riferimento al trattamento di tali dati. In particolare, nella circostanza in oggetto, la raccolta di dati biometrici per il perseguimento di scopi di ordinaria gestione finalizzati a facilitare la rilevazione delle presenze dal momento che – secondo quanto dichiarato dalla Società – i dipendenti tendevano a dimenticare di registrare, tramite l'utilizzo del badge, il loro arrivo o la loro uscita dal posto di lavoro (cfr. Ordinanza ingiunzione nei confronti di Sportitalia, società sportiva dilettantistica a responsabilità limitata - 10 novembre 2022, punto 2, lett. b), appariva non conforme ai principi di minimizzazione e proporzionalità del trattamento previsti dall'art. 5 del Regolamento.

Quanto alla base giuridica individuata da parte del Titolare del trattamento, l'Autorità, sulla base di un consolidato orientamento a livello europeo,  ha ribadito che lo squilibrio di potere che caratterizza il rapporto tra datore e lavoratore, non consente di considerare il consenso del dipendente un adeguato fondamento giuridico, in quanto risulta improbabile che lo stesso sia stato conferito liberamente (cfr. Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Enna - 14 gennaio 2021; Linee Guida sul consenso ai sensi del Regolamento UE 2016/679 - WP 259 del 4 maggio 2020; Gruppo di lavoro “Articolo 29”, Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249).

Per quel che concerne, invece, le ulteriori violazioni accertate, l'Autorità ha ravvisato l'inidoneità del testo dell'informativa privacy somministrato ai dipendenti poiché carente delle informazioni richieste a norma dell'art. 13 del Regolamento e del riferimento alla possibilità di avvalersi di sistemi di rilevazione alternativi a quelli biometrici, considerato quale espressione del dovere di correttezza dell'art. 5; nonché l'assenza all'interno del Registro dei trattamenti dell'indicazione relativa al trattamento di dati biometrici secondo quanto richiesto dall'art. 30, par. 1, lett. c) del Regolamento.

Per le violazioni sopra esposte, lo scorso 10 novembre 2022, l'Autorità ha, quindi, proceduto ad emanare un'ordinanza di ingiunzione nei confronti di Sportitalia, condannando la Società al pagamento di una sanzione pari ad Euro 20.000.

Osservazioni

La tutela rafforzata riconosciuta dalla normativa in materia di protezione dati personali ai dati biometrici deriva dalle caratteristiche intrinseche relative a tali dati, dai quali, sarebbe possibile dedurre ulteriori informazioni sensibili quali lo stato di salute, l'etnia o la razza, rendendo, così, la discriminazione un rischio concreto. In virtù della “delicatezza” di tale tipologia di dati, i rischi per gli interessati possono, infatti, avere gravi ripercussioni sulla loro sfera personale in caso di impropria utilizzazione dei dati (cfr. Allegato A al Provvedimento n. 513 del 12 novembre 2014 – Linee guida biometria, punto 7 e 7.1).

Le problematiche connesse alle attività di trattamento che, mediante l'elaborazione di dati biometrici risultano capaci di effettuare un tracciamento degli orari di accesso e della presenza dei dipendenti, dipendono, altresì, dal rischio di fornire un livello invasivo di conoscenza e controllo in merito alle attività del dipendente sul posto di lavoro (cfr. Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, punto 5.5.). Come pacificamente riconosciuto a livello europeo, è improbabile che nel contesto dei rapporti di lavoro l'interessato risulti in grado di negare il consenso al trattamento – per via delle pressioni percepite – con la conseguenza che risulterà necessario accertare, di volta in volta, in concreto, l'effettiva libertà della manifestazione di volontà del dipendente (cfr. Linee Guida sul consenso ai sensi del Regolamento UE 2016/679 - WP 259 del 4 maggio 2020; Ordinanza ingiunzione nei confronti di Sportitalia, società sportiva dilettantistica a responsabilità limitata - 10 novembre 2022, punto 3.2; Pubblicazione in bacheca di dati relativi a contestazioni disciplinari e valutazioni dei soci lavoratori - 13 dicembre 2018, punto 3.1) e ciò vale indipendentemente dalla natura pubblica o privata del datore di lavoro (cfr. Ordinanza ingiunzione nei confronti del Comune di Urago d'Oglio - 13 febbraio 2020, punto 3.1., Gruppo di lavoro “Articolo 29”, Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249).

In tale contesto, la liceità del trattamento dovrà, pertanto, essere valutata alla luce della sua necessità e proporzionalità: i dati personali devono, infatti, essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono raccolti e/o ulteriormente trattati (cfr. art. 5, par. 1, lett. c) del Regolamento, c.d. “principio di minimizzazione dei dati”). Nella fattispecie in esame, come chiarito dal Garante, l'utilizzo di dati biometrici nel contesto dell'ordinaria gestione del rapporto di lavoro non risulta conforme ai principi di minimizzazione e proporzionalità del trattamento (cfr. Ordinanza ingiunzione nei confronti di Sportitalia, società sportiva dilettantistica a responsabilità limitata - 10 novembre 2022, punto 3.2) in ragione del fatto che la medesima finalità possa essere perseguita dal Titolare del trattamento ricorrendo a modalità altrettanto efficaci e meno invasive.

A tale fine, il Titolare chiamato ad effettuare, in ambito lavorativo, un'attività di trattamento che preveda l'uso di particolari tecnologie e avente ad oggetto tipologie di dati personali richiedenti una tutela rafforzata dovrà procedere con l'individuazione di un idoneo presupposto di legittimità per l'attività di trattamento oltre che con lo svolgimento di una valutazione d'impatto sulla protezione dei dati (DPIA) a norma dell'art. 35 del Regolamento.